个人电脑中常见的安全风险与对策

摘要：本文简要地介绍了个人电脑中常见的安全风险，阐述了防火墙所有核心技术在个人电脑中的使用以及个人防火墙中的配置问题，讨论了为提高个人电脑的安全性需采用的技术和对策。关键词：安全风险 防火墙 包过滤 应用代理 状态检查随着网络技术的发展，因特网走上办公桌，走进千家万户，网上办公、网上支付、网上交易、网上娱乐逐步成为现实。但是，人们在一边享受网络带来的巨大好处，一边也在不知不觉中承受着随之而来的安全风险。病毒入侵，木马攻击，恶意的端口扫描，强力口令破解，轻则使电脑瘫痪，重则使数据泄密和丢失，造成难以弥补的损失或灾难性后果。但是，这些安全风险，并没有引起人们的高度重视，尤其是在个人电脑中。一、 个人电脑中的安全风险目前，绝大部分个人电脑使用的是WindowS 系列操作系统。WindowS 虽然是非常优秀的操作系统，在客户端的使用占有绝对优势，但配置不当，将会带来许多安全风险。WindowS 在默认条件下运行，许多端口处于开放状态，特别是WindowS 2000。这些开放端口，常常是黑客首选的攻击手段。例如，攻击者利用在80 端口运行的115 中存在的缓存区溢出漏洞，不仅严重影响客户机安全，而且几乎可以使整个网络瘫痪。通过因特网，浏览、窜改和删除客户机或服务器硬盘中的数据并非天方夜潭，更不用说来自内部网中的攻击了。很多人觉得只要不是有意公开硬盘中的内容，就不会出现这种情况，但实际上，远非如此。在个人电脑中，存在的安全风险很多。病毒人侵造成系统瘫痪，通过防毒杀毒能得到部分解决，但另一类常被人们忽视的安全风险，那就是由于默认开放端口所造成的危害。WindowS 在默认条件下开放的端口共5 个，即135 、137 、138 、139 和445 端口。其中，135 、137 、138 和139 端口几乎在所有的WindowS 中均出于开放状态。在Windows 2000 、XP 和net -中，还开放445 端口。135 端口2002 年7 月SecurityFriday 在因特网上公布了一种验证135 端口危险性的工具，即IE en ，呼吁用户加强安全设置。IE en 是一种远程操作IE 浏览器的软件，利用它可以得到运行中的IE 浏览器的窗口一览表、各窗口所显示的URL 、Cookie 以及输人的检索关键词等信息。最为可怕的是利用该工具还可看到本应受到SSL 加密协议保护的数据，甚至能够直接看到在网络银行中输人的银行现金卡密码信息。IE , en 使用的是WindowS 中的分布式对象模型DCOM 。DCOM 模型利用HPC ( Remote Procedure Call ）协议来调用另外一台机器中的远程函数。RPC 使用的正是135 端口。 DCOM 利用RPC 协议进行通信时，会向对端的135 端口询问，以便协商可以使用哪个端口进行实际的通信，如果对端的135 端口是开放的，就会告知可以用来实际通讯的端口号。因此，利用DCOM 开发的应用程序，都可以像上述攻击IE 浏览器那样实施攻击。比如，攻击正在网上运行Excel 的个人电脑，获取其单元格中输人的值，或者对这个值进行编辑操作等，危险性可想而知。不过，想利用该方法通过因特网操纵他人电脑进行攻击的可能性较小，而危险性很高的是内部网络环境，尤其是客户端。因为在大多数情况下，在内部网中，不仅可以轻而易举地得到他人的IP 地址和用户名，甚至能得到那些管理不严的密码。回避这种危险的最好办法是关闭RPC 服务。不过，关闭RPC 服务后，会给WindowS 的运行带来许多不利的影响，比如WindowS XP Professional ，从登录到显示桌面，就要等待相当长的时间。Windows 的很多服务都依赖于RPC ，而这些服务在RPC 设置为无效后都无法正常启动。因此，一般来说，不能轻易关闭RPC 服务但在因特网上的服务器基本上不使用RPC ，就应该坚决关闭135 端口。比如只是将WindowS 作为Web 、邮件或DNS 服务器，尤其是客户机使用的话，即便关闭135 端口，也不会出现任何问题。但是如果需要通过因特网来使用DCOM 应用程序时，就不能关闭该端口，而需要采取严格管理密码的措施。137 端口通过137 端口除了可以得到开放此端口的计算机名和注册用户以外，还可以确定该机是否为主域控制器，是否作为文件服务器在使用以及115 、SMB 服务是否正在运行等信息。这种情况，不只是发生在内部网络，在因特网上同样存在。对于攻击者来说，可以很容易地了解目标电脑的作用及网络结构。攻击者根本不需要特意地通过端口扫描来寻找可以下手入侵的端LJ 。另外，如果捕捉到正在利用137 端口进行通信的信息包，还有可能得到目标主机的启动和关闭时间。这是因为WindowS 启动或关闭时会由137 端口发送特定的信息包。如果掌握了目标主机的启动时间，就可以使用IE en 等软件通过135 端口操作对方的DCOM 。 可以用两种方法使用137 端口。一种方法是，位于同一组中的电脑之间利用广播功能进行计算机名管理。电脑在起动或者连接网络时，会向位于同组中的所有电脑询问有没有正在使用与自己相同的Net - BIOS 名。每台收到询问的电脑如果使用了与自己相同的NetBIOS 名，就会发送通知信息包。另一种方法是利用WINS 服务管理计算机名，被称为WINS 服务器的电脑有一个IP 地址和NetBIOS 名的对照表。WINS 客户端在系统起动或连接网络时会将自己的NetBIOS 名与IP 地址发送给WINS 服务器。与其他计算机通信时，又向WINS 服务器发送对端机器的NetBIOS 名，询问其IP 地址，以便完成通讯。为了得到通信对象的IP 地址，双方要通过137 端口*交换很多信息包。如果使用NetBIOS 名，就会在用户没有查觉的情况下，向外部散布许多机器信息，留下安全隐患。138 端口 138 端口除了会泄漏WindowS 的版本信息外，也提供NetBIOS 的浏览功能。后者用于显示网络中的电脑列表。比如，在WindowS 2000 中，由“网络邻居”中选择“整个网络”后，就会完整地显示出正在联网的电脑。NetBIOS 服务使用了137 和138 端口向外部发送信息。通常这种服务在因特网上是不需要的，应该关闭它。如果是WindowS 2000 或其以上的版本，不使用NetBIOS 也能够管理计算机名。因此全部由WindowS 2000 或其以上的个人电脑构筑而成的网络，就可以停止NetBIOS 。要想停止NetBIOS 服务，首先在控制面板中选择目前正在使用的网络连接，在属性窗口中查看 Internet 协议（TcP / IP ) -”的属性。在“常规”标签中单击“高级”按钮，按“WINS ”标签选择“禁用TCP 月P 上的NetBIOS ”即可。这样，就可以关闭137 、138 以及后面将要讲到的139 端口。 139 和445 端口在WindowS 中，139 和科5 端口主要通过SMB 协议实现文件和打印机共享。WindowS 20 （刃以前的版本使用NetBIOS 协议解决计算机名和IP 地址的映射。而后续版本则利用DNS 解决这个问题。在SMB 通信中，首先使用上述的计算机名解释功能，取得通信对象的IP 地址，然后向通信对象发出开始通信的请求。如果对方充许进行通信，就建立会话，并使用它向对方发送用户名和密码信息，进行认证。若认证成功，就可以访问对方的共享文件。在这些一连串的通信中使用的是139 端口。WindowS 2000 和XP ，除使用139 端口外，还使用 445 端口。文件共享本身与139 端口相同，但该端口使用的是与SMB 不同的协议，而是CIFS （通用因特网文件系统）协议。因此，在使用WindowS 作为文件服务器和打印服务器的内部网中，无法关闭139 和445 端口。但客户端如果不允许共享文件和打印机，完全可以关闭这两个端口。不使用Window 作为文件服务器和打印服务器的，绝对应该关闭这两个端口，打开是非常危险的。例如，如果有Guest 帐号，而且没有设置任何密码时，就能够被人通过因特网利用Windows 中的net 命令盗看文件。如果给该帐号设置了写入权限，甚至可以轻松地篡改和删除文件，形同自杀。对于利用拨号上网和ADSL 永久性接人因特网的客户端机器更是如此。关闭139 端口的方法和137 、138 端口一样，可以选择“将NetBIOS over TCP / IP 设置为无效”。想关闭445 端口要利用注册表编辑器在 HKEY _ LOCAL - - MACHINE SYSTEM CurrentControl Set Seoices NetB 叭ParameterS ”键中追加名为“SMB - DeviceEnahled ”的DWORD 值，并将其设置为0 ，然后重新起动机器生效即可。既然上面讨论的5 -个端口存在安全隐患，在许多情况下又不能关闭，要彻底解决这个问题，就必须利用防火墙技术。防火墙常常是内部网接入因特网的第一道关口，几乎成了网络建设中的标准配置，但安装在内部网出口中的防火墙，只能防止来自因特网上的攻击，而不能解决来自内部网中的安全威胁。要防止来自内部的威胁，在个人电脑中就有必要安装个人防火墙。 二、 防火墙中使用的核心技术防火墙是一个系统，它执行一定的安全策略，确保流人和流出防火墙的数据接受安全检查。目前，绝大多数防火墙安装在内部网和因特网之间，个人电脑中使用的比较少。防火墙的核心技术可以简单地分为包过滤、应用代理和状态检测三个方面。目前的防火墙，无论是包过滤型、代理服务型，还是复合型，大都基于这三种技术开发。 1 包过滤（Packet Filter ) 包过滤技术以IP 包中的信息为基础，对IP 源地址、目标地址、封装协议、端口号等进行筛选。包过滤通常在网络层实现，不只是防火墙实现包过滤，大多数商用路由器也支持包过滤功能。在因特网上，所有数据都被分割成一定长度的数据包，包头中包括IP 源地址、IP 目标地址、协议类型、TCP / UDP 源端口和目标端口号、ICMP 消息类型等。当这些包在因特网上传输遇到防火墙时，包过滤型的防火墙会检查所有数据包中的包头信息，对不符合过滤规则的数据包将不允许通过。包过滤技术的优点是，实现容易，使用简单，费用低廉，对应用透明。但其缺点是，定义过滤规则集合复杂，大多数情况下，需要了解TCP-IP 协议的内容。2 应用代理（Application Proxy ) 应用代理的原理是彻底隔断通信两端的直接通信，所有通信都必须经应用层代理转发，访问者任何时候都不能与服务器建立直接的TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求。断掉所有的连接，由防火墙重新建立连接，可以使应用代理防火墙具有极高的安全性。但是，这种高安全性是以牺牲性能和对应用的透明性为代价的，故不能支持大规模的并发连接，速度敏感的应用基本不能使用此类技术。此类防火墙核心要求预先内置一些已知应用程序的代理，如Web 、SMTP 、POP3 、FTP 等。新出现应用，就必须升级和改造防火墙。故适合于那些应用比较单一（如仅仅访问Web 站点等），对性能要求不高的中小企业内部网中。 NextPage3 状态检查（Stateful Packet Inspection ) 采用此类技术的防火墙在包过滤的架构之上进行了改进，它摒弃了包过滤防火墙仅检查进出网络的数据包，而不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力，它是目前最流行的防火墙技术。目前，业界很多优秀的防火墙产品都采用了状态监测体系结构，如Cisco 的Plx 防火墙，Netscreen 防火墙等。从20 （幻年开始，国内的许多防火墙公司，如东软、天融信等公司，也开始采用这一新的技术。到目前为止，国内的网络安全厂商已超过400 家。其主要原因源自防火墙技术的公开性和丰厚的利润回报。国内防火墙厂商一类是以天融信、东方龙马等厂家为代表的专业安全厂商，他们只研发生产防火墙等安全产品；另一是如东软、联想、方正、清华同方和清华紫光等为代表的国内著名IT 企业，防火墙只作为其产品线中的一部分。国外品牌的防火墙一类是以Check Point 、Netscreen 等为代表的专业防火墙公司；另一类是著名的国际网络公司，如Cisco 和3Com 等，他们各自的优势同国内两类网络设备厂商相同，只有“专”和“广”的区别而已，技术上没有本质的不同。上述防火墙产品，都是为企业级的应用设计和开发的，从低档到中高档，价格在5 一6 千元至10 万元不等，不适合于在个人电脑中使用。适合在个人电脑中使用的是低档的个人防火墙，这些防火墙有共享软件，也有商业软件，即使是商业软件，价格也很低，只在百元左右。常见的有金山网镖2003 、瑞星个人防火墙、天网个人防火墙和费尔个人防火墙等，所使用的技术差不多都是包过滤技术，目前在个人电脑中安装比较多的是金山网镖2003 和瑞星个人防火墙。其基本情况如表1 所示。三、 个人防火墙配置-在个人防火墙软件中的安全规则分为两种：一种是软件开发者事先定义好安全规则，提供给用户选择。安全规则常定义成几个级别，一般分为低、中、高三种。这样不懂网络协议的用户，就可以根据自己的需要设置不同的安全级别。另外一种是用户自定义安全规则，即用户根据所处的安全状态，单独配置某个协议或某个规则。但这种情况只适用于非常了解网络协议的人。 防火墙一般按照两种情况来设计其默认规则：一是默认拒绝。即防火墙阻塞所有流经的信息，每一项服务或应用都要逐项审查，只有规则中匹配的数据包才能通过防火墙，故创建的安全环境比较高，商用防火墙多采用此种方式。二是默认许可，即约定防火墙总是传递所有信息，而每一个潜在的安全风险基于逐项审查来杜绝。此种方式多用在个人防火墙中。按照上述原理，个人防火墙中的安全规则可按下述方式配置。 1 接受来自80 和8080 端口的数据 80 和8080 端口由H 贯P 协议使用。H 竹P 是用得最多的协议，提供网页资源的主机使用80 端口提供服务，上网浏览网页就必须使用它。2 接受来自53 端口的数据因特网上的每一台计算机都有一个网络地址，这个地址就是我们常说的IP 地址，它以纯数字的形式表示，不易记忆，于是出现了域名。访问主机的时候只需要知道域名，域名和IP 地址之间的变换由DNS 服务器来完成。DNS 用的是UDP 的53 端口。 3 接受来自25 和110 端口的数据 SMTP 是简单邮件传送协议，邮件服务器收发邮件用的几乎都是这个协议。多数服务器开放的是TCP 的25 端口。另一个是PoP3 协议，客户端使用它接收邮件。通常情况下，POP3 协议所用的是110 端口。 4 根据情况接受来自23 端口的数据对于网络管理员来说，一般需要使用telnet 协议来登陆远程主机管理系统，而telnet 使用的是TCP 的23 端口，故需配置23 端口的